La CJUE va-t-elle invalider les accords Safe Harbor en raison de l’affaire PRISM ?

DISCLAIMER: Toutes les opinions affichées dans cette colonne reflètent l'avis de l'auteur, pas celle d'EURACTIV Media network.

(Credit: [Yann Padova])

Après la directive sur la conservation des données qu’elle a invalidée le 8 avril, la CJUE va-t-elle faire subir le même sort aux accords « Safe Harbor » ? Il est permis de se poser la question à la lecture du renvoi préjudiciel que lui a transmis la High Court d’Irlande le 26 août [1].?

Yann Padova est avocat spécialisé en protection des données et est l’ancien Secrétaire général de la CNIL.

?L’affaire à l’origine de ce renvoi découle d’une plainte déposée devant la High Court par M. Max S, citoyen autrichien. Celui-ci conteste le refus de l’autorité de protection des données irlandaise (le Commissioner) d’instruire l’examen de sa plainte contre la filiale irlandaise de la société américaine Facebook. M. S alléguait, qu’au vu des révélations des activités de surveillance menées par la NSA dans le cadre du programme PRISM, « le droit et les pratiques des États-Unis n’offrent aucune protection réelle contre la surveillance de l’État ». En conséquence, M. S demandait au Commissioner de suspendre les transferts de données personnelles à destination des États-Unis fondés sur les accords Safe Harbor puisque la protection des données n’y était plus garantie. Rappelons que les autorités nationales de protection des données peuvent effectivement suspendre les transferts « vers une organisation » dont le comportement violerait les principes du Safe Habor.

Le Commissioner a motivé son refus d’instruire la plainte de M. S en indiquant, en premier lieu, qu’aucune preuve de manquement n’était rapportée contre la société concernée. Le Commissioner a ajouté, en second lieu, que la décision de la Commission européenne du 26 juillet 2000, relative aux accords Safe Harbor, a reconnu que ce mécanisme assurait un « niveau adéquat de protection des données à caractère personnel » de sorte que, en vertu du principe de la primauté du droit communautaire sur le droit national, il était lié par cette décision. Le Commissioner a donc considéré qu’il n’avait pas la compétence pour évaluer, ni a fortiori contester, d’une façon générale et abstraite, le degré de protection des données assuré par la décision de la Commission européenne.

Saisie de la plainte de M. S contre ce refus du Commissioner, la High Court relève tout d’abord que le Commissioner est « naturellement lié » par la décision de la Commission. Toutefois, la High Court observe que la « question cruciale » porte davantage sur les « termes mêmes » de la Décision de la Commission plutôt que sur « son application » par le Commissioner. En effet, la plainte de M. S, tend à la contestation du principe et de l’efficacité mêmes du Safe Harbor et non à son éventuelle inapplication dans un cas précis par une « organisation » particulière. La High Court relève que plusieurs éléments nouveaux sont intervenus depuis la décision du 26 juillet 2000. Et celle-ci d’évoquer d’abord l’entrée en vigueur, postérieure à la décision, des articles 7 et 8 de la Charte des droits fondamentaux de l’Union relatifs au droit à la vie privée et à la protection des données personnelles, puis les révélations concernant l’affaire PRISM et, enfin, le récent arrêt de la CJUE du 8 avril 2014. Comme l’indique la High Court, « eu égard à ces circonstances », elle a considéré qu’il serait « approprié » de déférer à la CJUE la question de savoir si le Commissioner était « absolument lié » par la Décision de la Commission ou bien s’il « pouvait, ou devait, mener sa propre enquête en s’instruisant de la manière dont les faits ont évolué » depuis le 26 juillet 2000 ?

Cette question soumise à la CJUE est potentiellement lourde de conséquences juridiques et économiques, d’autant qu’elle intervient dans un contexte politique européen particulier. En effet, les accords Safe Harbor constituent l’un des instruments juridiques les plus utilisés par les entreprises installées en Europe pour transférer des données vers les États-Unis. De moins de 400 en 2004, le nombre d’entreprises américaines enregistrées en tant qu’adhérentes au Safe Harbor atteint désormais près de 3 300. Selon une étude de la Commission européenne, 51 % des entreprises certifiées Safe Harbor traitent des données RH de salariés européens. Il s’agit donc d’un mécanisme juridique utilisé quotidiennement par un grand nombre d’entreprises européennes. C’est pourquoi, selon certaines études citées par la Commission, la perturbation des flux de données transatlantiques pourrait avoir un impact récessif sur le PIB de l’UE compris entre – 0,8 % et – 1,3 %.

Cependant, le mécanisme du Safe Harbor fait l’objet de nombreuses réserves en Europe qui se sont substantiellement accrues depuis l’affaire PRISM. Dans sa communication du 27 novembre 2013, la Commission réitère, pour partie, les constats qu’elle avait établis dès 2004 et formule de nouveau une série de 13 recommandations. Confrontée à cette situation, à la relative absence d’effectivité des précédentes recommandations de la Commission, aux révélations de l’affaire PRISM, une Commission d’enquête du Parlement européen a exigé, le 8 janvier dernier, la « suspension » des accords Safe Harbor par la Commission européenne.

C’est donc dans un contexte de tension transatlantique et de pression politique sur la Commission européenne par le Parlement européen qu’intervient cette question préjudicielle. La CJUE a pris position avec éclat cette année en faveur d’une lecture exigeante de la protection des données. Elle a ainsi considéré, dans sa décision Digital Rights Ireland du 8 avril dernier, que la directive sur la conservation des données [2] organisait une ingérence disproportionnée dans les droits au respect à la vie privée et à la protection des données. Dans cette décision, la Cour indique que « force est de constater que l’ingérence que comporte la directive 2006/24 dans les droits fondamentaux consacrés aux articles 7 et 8 de la Charte s’avère, ainsi que l’a également relevé M. l’avocat général […] d’une vaste ampleur, et qu’elle doit être considérée comme particulièrement grave. En outre, la circonstance que la conservation des données et l’utilisation ultérieure de celles-ci sont effectuées sans que l’abonné ou l’utilisateur inscrit en soient informés est susceptible de générer dans l’esprit des personnes concernées, ainsi que l’a relevé M. l’avocat général aux points 52 et 72 de ses conclusions, le sentiment que leur vie privée fait l’objet d’une surveillance constante ». (souligné par nous). Au surplus, la Cour a estimé que la directive « n’impose pas que les données en cause soient conservées sur le territoire de l’UE, de sorte qu’il ne saurait être considéré qu’est pleinement garanti le contrôle par une autorité indépendante, explicitement exigé par l’article 8 de la Charte ».

Or, de quoi s’agit-il dans l’affaire dont est saisie la CJUE si ce n’est de « la vaste ampleur » de la surveillance opérée par PRISM, dont la « gravité » est difficilement contestable ? Là aussi, les utilisateurs européens, surveillés à leur insu, ne peuvent-ils avoir « le sentiment que leur vie privée fait l’objet d’une surveillance constante » ? Là aussi, la protection garantie par l’article 8 de la Charte n’est pas assurée. Sans pouvoir bien évidemment préjuger de ce que sera la décision de la CJUE en l’espèce, les critères qu’elle a elle-même dégagés pour invalider la directive sur la conservation des données pourraient cependant trouver à s’appliquer aux accords Safe Harbor.

Plusieurs options pourraient ainsi se présenter à la Cour. Soit celle-ci considère qu’il est possible d’interpréter les accords Safe Harbor au vu des exigences des articles 7 et 8 de la Charte, ce qui devrait conduire les autorités nationales, telles que le Commissioner, à mener leur propre enquête sur le respect de ces accords. S’ouvrirait alors une période d’incertitude juridique au sein de l’Union européenne au vu du risque d’interprétations divergentes entre les 28 autorités nationales. Soit la Cour considère qu’une telle interprétation n’est juridiquement pas possible : les autorités nationales étant liées par la décision de la Commission, elles ne peuvent instruire que les manquements avérés d’une entreprise en particulier et non les violations commises par les autorités publiques américaines en général. Soit la Cour, chargée de veiller au respect du droit européen, reformule la question qui lui est soumise et examine elle-même la validité des accords Safe Harbor. Rappelons que la CJUE a déjà par le passé agi de la sorte en examinant la validité d’un texte alors même qu’elle n’était interrogée que sur son interprétation.

Il convient donc de demeurer vigilant sur cette question dont l’issue pourrait avoir d’importantes répercussions sur le régime juridique des transferts de données transatlantiques, mais aussi — et surtout — sur les relations politiques entre les États-Unis et l’Europe d’une part, et entre la Commission et le Parlement d’autre part.

[1] Affaire C-362/14

[2] Directive 2006/24/CE

Subscribe to our newsletters

Subscribe
CONTRIBUER